Existe alguma ferramenta de registro do Windows que rastreie a manipulação de arquivos?

5

Eu quero saber quem e quando tocou em um arquivo. Minha última pergunta mostrou que não posso confiar no NTFS.

    
por Jader Dias 08.07.2009 / 01:48

6 respostas

6

A implementação para isso é diferente de acordo com a sua infraestrutura, mas a resposta (em princípio) é a mesma. Tempo para implementar a auditoria de arquivos.

Se você está falando sobre compartilhamentos em um servidor Windows, então deve implementar a Auditoria de arquivos via GPO . Se você estiver preocupado com uma estação de trabalho Windows, isso pode ser implementado pela Política de segurança local

    
por 08.07.2009 / 03:00
4

Você deve conseguir ativar a auditoria de acesso a arquivos. Isso é diferente de observar a data / hora modificada. A página a seguir tem um ótimo writeup: link

    
por 08.07.2009 / 02:56
2

Você provavelmente desejará dar o próximo salto lógico e olhar na direção dos chamados HIDS (Host-Based Intrusion Detection Systems), que, como um de seus recursos, oferecem a configuração de monitoramento de arquivos.

Não posso recomendar HIDS para Windows, mas você deve encontrar algo que atenda às suas necessidades.

    
por 08.07.2009 / 02:03
0

Você pode acompanhar as alterações do sistema de arquivos com versões recentes do Splunk. A versão gratuita permitirá que você indexe até 500MB por dia, o que deve ser suficiente para a maioria das alterações no sistema de arquivos.

Informações sobre como isso acontece em: link

    
por 12.08.2009 / 19:21
0

Você pode tentar Power Admin File Sight . Há uma avaliação de 30 dias disponível e, se você decidir comprar, não é muito caro.

    
por 12.08.2009 / 19:49
0

Confira "neologger"

Site Oficial link

Site do Sourceforge link

    
por 05.06.2012 / 20:06